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BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN 
SPORT 


Aan de Voorzitter van de Tweede Kamer der Staten-Generaal 
Den Haag, 21 juni 2016 

U heeft mij gevraagd uitgebreid te reageren op het artikel van de NPO van 
17 mei 2016 over het bericht dat de Privacywaakhond ziekenhuizen op de 
vingers tikt. De aanleiding voor het door Autoriteit Persoonsgegevens 
(AP) verrichte onderzoek waren de diverse berichten in de media en de 
vele Kamervragen over de werkzaamheden rond het digitaliseren van 
patiëntendossiers van ziekenhuizen, uitgevoerd door Belgische gevan¬ 
genen in de gevangenis van Leuven. Hierover heb ik u, naast de 
antwoorden op Kamervragen, op 16 maart jongstleden een brief gestuurd 
(Kamerstuk 31 765, nr. 196). Daarin heb ik aangegeven dat vertrouwe¬ 
lijkheid van medische gegevens een kernwaarde en een wettelijk recht is 
in de zorg die niet ter discussie mag staan. Als deze kernwaarde wordt 
aangetast, dan wordt het vertrouwen van patiënten ernstig geschaad, 
raakt het de reputatie van zorgaanbieders en bovenal raakt het direct het 
vertrouwen van de samenleving in de gezondheidszorg. Het waarborgen 
van de vertrouwelijkheid is in eerste plaats de verantwoordelijkheid van 
de bestuurders zelf. Het is terecht dat de AP hier scherp op toeziet. En ook 
ikzelf onderneem actie om deze kernwaarde te beschermen en ben 
daarom gestart met een eigen onderzoek naar het gedrag en de cultuur 
rond de bescherming van patiëntgegevens waarover ik u voor eind van dit 
jaar informeer. 

Ik ben over de uitkomsten van het onderzoek van de AP op 12 mei 
jongstleden door de vicevoorzitter van de AP Mr. W.B.M. Tomesen 
schriftelijk op de hoogte gesteld. U ontvangt deze brief van de AP als 
bijlage bij mijn reactie 1 . In deze brief staan de uitkomsten van het 
onderzoek naar het gebruik van bewerkersovereenkomsten die de 
ziekenhuizen hebben afgesloten met softwarebedrijf iGuana. Helaas moet 
ik constateren dat de AP concludeert dat niet ieder aangeschreven 
ziekenhuis een bewerkersovereenkomst had gesloten. Voor zover er wel 
bewerkersovereenkomsten waren gesloten, voldeden deze bij eerste 
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beschouwing niet (volledig) aan de minimaal te stellen eisen die voort¬ 
vloeien uit artikel 14 Wet bescherming persoonsgegevens. Dit is uiteraard 
niet acceptabel. 

De AP heeft de aangeschreven ziekenhuizen gemaand om, voor zover nog 
sprake is van uitbesteding van de verwerking van persoonsgegevens, een 
bewerkersovereenkomst op te stellen die voldoet aan deze eisen. De AP 
beziet op dit moment of de reacties van de ziekenhuizen voldoen of dat 
verdere actie noodzakelijk is. 

De Nederlandse Vereniging van Ziekenhuizen (NVZ) is over bevindingen 
door de AP zelf geïnformeerd, met het verzoek om deze bevindingen 
nogmaals onder aandacht van de leden te brengen. Verschillende 
ziekenhuizen hebben inmiddels op hun website een bericht geplaatst waar 
patiënten informatie kunnen opvragen over de gang van zaken. 

Zoals ik in mijn eerdere reacties heb aangegeven, moeten zorginstellingen 
echt beter aan de slag met het borgen van de vertrouwelijkheid van 
patiëntgegevens. Ook al vinden de werkzaamheden in de Belgische 
gevangenis niet meer plaats, voorkomen moet worden dat andere 
privacyschendingen optreden. Zorgaanbieders moeten op de hoogte zijn 
door wie en op welke wijze werkzaamheden door derde partijen worden 
uitgevoerd. Dit moet conform wettelijke eisen vastgelegd zijn in een 
bewerkersovereenkomst. Patiënten moeten er op kunnen vertrouwen dat 
de bescherming van medische informatie is gegarandeerd door de 
ziekenhuizen. Ziekenhuizen en zorgverleners zijn hier in de eerste plaats 
zelf voor verantwoordelijk en moeten voldoende maatregelen treffen om 
de veiligheid van medische gegevens te kunnen garanderen en voldoen 
aan de wettelijke normen die gelden voor de verwerking van persoonsge¬ 
gevens. De Inspectie voor de Gezondheidszorg heeft inmiddels een brief 
aan koepels van ziekenhuizen en voor de geestelijke gezondheidszorg 
gestuurd waarin de Inspectie hen nadrukkelijk op hun verantwoorde¬ 
lijkheid wijst, en tevens aandacht vraagt voor de voorgeschreven 
handelwijze bij een schending van vertrouwelijkheid van medische 
informatie. De Inspectie betrekt daarnaast risico's voor kwaliteit en 
veiligheid van zorg die samenhangen met de overgang van papieren naar 
elektronische patiëntendossiers in haar risicogestuurde toezicht. 

Om het grote belang van de zorgvuldige omgang met persoonsgegevens 
te benadrukken en om zaken (verder) te verbeteren, zal ik - zoals eerder 
aangekondigd - ook zelf onderzoek laten doen naar de vraag op welke 
wijze zorginstellingen (ziekenhuizen en instellingen voor geestelijke 
gezondheidszorg) in de dagelijkse praktijk omgaan met de beveiliging van 
hun patiëntgegevens en hoe hierin verbetering kan worden aangebracht. 
Mijn onderzoek is gericht op het verankeren van de bescherming van 
patiëntgegevens in de praktijk van de zorginstelling, in het gedrag van 
leidinggevenden en medewerkers én in de (aanspreek) cultuur in de 
zorginstellingen. Het onderzoek schenkt specifiek aandacht aan situaties 
waarin gewerkt wordt met onderaannemers, bijvoorbeeld voor het 
digitaliseren van patiëntgegevens waarbij gebruik wordt gemaakt van 
bewerkersovereenkomsten. Onderdeel van de onderzoeksvraag is of er 
wijzigingen in wet- en regelgeving noodzakelijk zijn. Het onderzoek zal 
geen oordeel vellen of individuele instellingen voldoen aan de wettelijke 
eisen. Dit is de bevoegdheid van de AP. Voor het eind van het jaar zal ik u 
nader informeren over de uitkomsten van dit onderzoek. 

De Minister van Volksgezondheid, Welzijn en Sport, 

E.l. Schippers 
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